揭密：黑客產業鏈是如何運作的？

本刊記者｜姜紅德

近年黑客產業已經從以前的零散狀態進入產業鏈發展模式，黑客也從一個技術級現象演變成為產業級現象。在關注這一現象的同時，我們結合了業界各種最新動態和安全業界人士的觀點，展現了真實的黑客和黑客產業鏈的發展狀況，當然這些還只是隱藏在水面之下的“冰山一角”。

“黑帽子”和“白帽子”

在不了解黑客之前，相信很多人都以為黑客就是我們經常說到的網絡安全破壞者，其實這是混淆了黑客的概念。在網絡安全行業，一般利用黑客技術從事網絡攻擊等違法犯罪活動的被認為是“黑帽子”，而那些利用網絡技術進行防御的黑客則被認為是“白帽子”，兩個職業實際上有著比較大的區別。

“通常我們所說的駭客一般指的是破壞的一方即‘黑帽子’，黑客也就是經常見到的‘白帽子’指的是崇尚技術的人，一字之差卻有天壤之別，”知道創宇安全研究員龐偉這樣對記者介紹。

在弄清這個群體的概念之后，我們就很容易理解為什么當前越來越多的像DEF CON 、Kcon這樣的黑客大會逐漸走入我們視線的原因了：通過各種攻與防的交流，可以更好地維護網絡的安全運行。

今年8月份的美國拉斯維加斯，DEF CON（世界黑客大會）在這里舉辦，同期舉辦的還有一年一度的BLACK HAT（黑帽子大會）。如今，“黑帽子”大會已成為一個世界級的信息安全會議，世界500強企業、國際網絡安全產品和服務提供商，甚至美國聯邦調查局(FBI)，都成了參會嘉賓。門票一張要2000多美元，參加會議的多是全球大型信息安全企業的高管及核心技術人員，或是在黑客界的大腕。

在會議中“黑帽子”們隨處可見，如果您在會議過程中讓手機處于開機狀態，很可能就被他們布置的無線陷阱俘獲，進而竊聽您的私人談話，破解手機郵件，了解你的日常行蹤，甚至是竊取您的銀行賬戶和密碼。

國內近年來陸續登上世界黑客大會的演講者基本上都是一些知名的“白帽子”。比較知名的包括于旸、范淵和以諸葛建偉帶頭的清華大學藍蓮花戰隊等。和“黑帽子”相比，“白帽子”更多地是從防御的角度去學習攻擊的技術。“我們發現很多黑客技術經常是在美國出現一年之后，才在國內重視起來，如果不了解這些攻擊的技術，我們很難在防御上做出成績。”一位“白帽子”這樣表示參加世界黑客大會的初衷。

黑產業鏈起底

在今年8月份在國內舉辦的Kcon黑客大會上，一直以來被喻為“冰山一角”的黑客產業鏈得到了專業人士的曝光。黑客產業鏈就是通過黑客技術入侵服務器獲取站點權限以及各類賬戶信息并從中謀取經濟利益的一條產業鏈。這條產業鏈具體包括流量類型、僵尸網絡、私服外掛等，一旦有人不小心中招，就會在不知不覺中遭受詐騙、盜刷等各種危害。

通常來說，黑客產業鏈里的黑客們來錢非常快。一般的網絡安全研究人員，月薪5萬已經非常高了，可是黑客產業鏈里的黑客們一個星期就可以賺到這么多的錢。

據了解，黑客產業鏈基本可以分為以下幾類：流量類型（網絡博彩、外貿營銷、黑鏈買賣交易、寄生蟲站群、廣告作弊……）；僵尸網絡（木馬后門、DDOS攻擊……）；私服外掛；數據買賣交易（網站數據庫、信用卡盜刷、票據信息詐騙……）；其他（0day買賣、商業飛單偷單）等。

知道創宇安全研究員龐偉介紹，“在形成規模之前，黑產是一個零散的、不完整的產業鏈，如今是一個貫穿竊取個人信息到現金的整條產業鏈，每個人都有不同的角色。而且和以前相比，從手段到速度、規模都不太一樣，也出現了一些新的模式。比如一些黑客通過某些手段把一些正規手機號碼信息加入到水貨iPhone手機中并用過販賣獲取暴利，這些就是一些新的模式。”

最為典型的QQ木馬盜號的流程是這樣的：由盜號商家（即老板）向軟件作者訂購軟件，木馬被編寫出來后由商家尋找流量商放到網上，用戶就在上網的過程中不知不覺下載了這些軟件到自己的電腦上，然后老板通過軟件就能獲得用戶的QQ號碼及密碼。在獲得這些信息后，一些QQ信封購買者( 信封指的是包含上萬個QQ信息的文本文件)就會利用這些信息進行二手或三手轉賣，達到廣告、詐騙和洗錢的目的。

隨著賭球和足彩等行業的鼎盛，網絡博彩也成為近年來逐漸受到關注的黑色產業鏈。黑客在推廣過程中可以這么運作：入侵一些服務器，往里面加些博彩關鍵詞，比如“賭博網”“世界杯”“足彩”等。然后做SEO的人把這些已經入侵的站點往搜索引擎上推。當搜索一個很正常的網站，你會發現一些博彩信息，難道這些網站還做博彩嗎？不是，是網站被入侵了，博彩信息是被黑客植入進去的，這樣該網站就成了博彩站的導流入口。

為了更直觀了解黑客產業鏈的一些基本情況，安全業界專家為我們梳理了一條黑產的主要環節：首先是“工具開發和漏洞發掘”環節，該環節主要是黑客發現網絡中的各種漏洞，進而利用掌握的技術和知識編寫出各種程序，作為犯罪工具，如QQ木馬；其次，利用安全漏洞，實施入侵、控制、竊密等行為，如獲得用戶QQ密碼、引導用戶進入博彩網站等；再次，利用獲得資源進一步犯罪，比如洗Q幣、唆使網絡賭球等；最后是銷贓變現環節，比如賺取博彩者的錢財和信用卡取現等環節。（見圖1）

“實際上現在的黑產在分工方面已經非常專業化，各種角色都會發揮自己的作用。經過實際打磨，黑客工具也很成熟，黑客技術的門檻降低了很多，而從事黑產的人越來越多”。業內人士估計，現在的黑產在規模上已經是以前的3~4倍。

手機會成為竊聽工具嗎？

黑產的另一個特點是從PC向移動端轉移，《竊聽風云3》里面的手機操控攝像頭就是這樣的例子。竊聽者使用的都是手機的正常功能，只不過經過稍微的改變就能變成可以利用的工具，把一些手機所有者能看的東西變成他們能看的東西。

圖1：黑客產業鏈主要環節

而隨著蘋果iCloud用戶照片泄密事件曝光以來，移動云端的安全也變得不再可靠。“云端的安全，在方便的同時也帶來了巨大的安全隱患。你不知道上傳到云端之后，這些信息是否會公開？”

業內人士認為，目前移動端的黑產還沒有完全流程化，但是最終還是會慢慢發展為和PC端的沒有什么區別，因此做好移動端的防御也成為一個重點。拿手機的防護來說，蘋果系統升級頻繁，漏洞較少，黑客很難從外部攻入。如果不去越獄，就不會有很大的影響。而Android手機更新時間較長，漏洞經常會被發現，專家建議安裝一個第三方的安全軟件。

“如果在蘋果APP下載軟件的話，基本上也不會有什么危險，蘋果都會對這些應用程序進行嚴格的管理，因此基本上沒有什么木馬和病毒。刷機之后，會給手機原有的防護體系造成破壞，給黑客留下一個很大的漏洞。同時在其他網站下載的應用程序，很難保證是安全可靠的。”

當然一些手機公司也會做一些軟件審查和防御，但歸根結底對它們來說是一件很麻煩的事情，現在通常都是由專業手機殺毒公司提供一個防御軟件進行清查。

安全聯盟保護網絡

為了打擊黑客的破壞行動及保護網絡上的各種組織和個人的合法利益，在國家計算機病毒應急處理中心、中國電子商務協會、中國中小企業協會的指導下，由百度、騰訊、金山、知道創宇等企業聯合業內知名的搜索機構、安全企業和媒體等組成了國內第一家安全聯盟。按照定位，具體來說有兩方面主要任務：一是對于通過安全聯盟驗證的誠信企業，安全聯盟通過互聯網手段將驗證結果展示在互聯網平臺上，幫助企業網站獲得每日7億網民的點擊機會。二是基于自身強大的安全監測引擎，并與國內知名的互聯網企業如騰訊、百度、金山一起合作，對含有惡意內容的網站進行打擊。

知道創宇資深安全顧問秦波介紹，安全聯盟是一個NGO組織，通過安全聯盟可以建立有秩序的，一眼可以看清的規則。目前安全聯盟平臺每天會發布“黑名單”和“白名單”，前者主要是發布一些風險網站和產品，提防用戶受到傷害，后者則主要把一些信譽好的單位和網站進行標示，列為可信的機構。這些基礎工作做完之后，安全聯盟接下來會和浙江衛視等媒體合作更快地傳播信息。

秦波說，目前安全聯盟發布的“黑名單”中，每月發布的數據達到3000萬條以上，每天在搜索、微信等平臺上提醒用戶超過一億次，同時每天會新增100萬條數據。這些數據主要來源于各成員單位如騰訊等公司，他們把這些數據提煉出來交給聯盟處理，經過辨識和標示，統一發布到各大網站平臺。目前有超過50家媒體加入到安全聯盟的反欺詐平臺中，另外還有一個民間的萬人鑒定團，通過網民的自發舉報，可以為其他用戶提供相關信息，減少欺騙和損失。同時聯盟已經與互聯網法律援助基金會達成協議，針對消費者遇到的消費糾結和買到假貨等問題提供免費的法律援助。在“白名單”發布方面，已經獲得安全聯盟認可的可信單位達到10萬家，同時還有數十萬家單位在做這方面的申請。

現在每天安全人員面對的數據超過數百萬條，純粹用人工的方式已經不可行，通過機器過濾加上人工等方式可以確保每一個黑數據不被漏掉，也要保證每一個“白名單”獲得認可。相信有了這些技術保障措施，黑產才不會在網絡環境中肆無忌憚，網民們的合法權益也能得到充分保障。